APT - 資安趨勢部落格

< APT 攻擊防禦 > 識別和區分網路及使用者

2015 年 07 月 02 日2015 年 07 月 03 日趨勢科技 TrendMicro

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）最關鍵的主動應對措施。對組織來說，適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

這是一項重要的任務，因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路；同樣的，某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料（我們經常討論的話題）的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險，以及有那些已經出現在自己的網路內。後者尤其困難，甚至連大型組織也面臨到這樣的挑戰。但這很重要，在組織提高其安全態勢前，需要先了解自己的狀況。

在過去，這項任務可能比較容易，因為所有的設備都在IT部門管控之下，而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者，一般來說是一組人，可以將事情有邏輯的安排好，輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的，因為角色會不斷改變和更具備彈性，也代表員工每日所需的資料可能會經常變動。此外，企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務，但卻是必要的。在面對今日的針對性攻擊時，識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者，在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼，有那些標準可以用來識別和分類網路？下面是一些例子。繼續閱讀

技術長觀點：防範來自企業內部人員的攻擊

2015 年 06 月 30 日2015 年 06 月 30 日趨勢科技 TrendMicro

Raimund Genes (趨勢科技技術長，CTO)

若您讀過不少犯罪小說，或者看過不少動作影片，您對這樣的情節應該不會感到陌生：一位內部人員因為多年前所受到的屈辱而對企業展開報復，導致企業蒙受重大損失。企業內部人員通常站在正義的一方，但有時也會站在邪惡的一方。

這道理不難理解，因為內部人員非常清楚企業的做事方法、寶貴資料，以及遭受攻擊時的因應方式。誰能比內部人員更知道該如何攻擊企業本身？

然而這是假設「內部人員的威脅」無可避免。所幸，大多數人都不會想要毀掉自己所任職的企業。大多數人都希望自己所屬的機構能夠成長、茁壯。因此，除非您待的是國防單位，否則這點通常不是您要擔心的問題。

不過問題是，並非所有「內部人員的威脅」都是來自蓄意。內部人員也有可能因為不小心而造成資料外洩。社群網站為人們提供了許多新鮮有趣的溝通方式，但不幸的是，有時候也會讓一些「不該」透露的機密資訊外流。

若人們已經將資訊洩漏在網路上，那麼您還能利用社交工程（social engineering ）從別人身上套出什麼更多資料？所謂的社交工程技巧，就是利用一些人際之間手段來讓別人照著您的意思去做。這是數千年來流傳已久的一門藝術，因此歹徒擅長這門藝術也就不令人訝異。

幾乎所有「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）一開始都是利用某種形態的社交工程技巧。因此，儘管不易，您應該盡可能防範這類攻擊。繼續閱讀

< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?

2015 年 05 月 29 日2015 年 08 月 28 日趨勢科技 TrendMicro

台灣和菲律賓已成為一項名為 Tropic Trooper (熱帶騎警) 的「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）的目標，而這項攻擊使用的只是舊的技倆：兩個 Windows 經常遭到攻擊的漏洞、社交工程（social engineering ）巧以及簡單的圖像隱碼術 (Steganography)。這項攻擊從 2012 年至今一直不斷在竊取政府機關與產業的機密。

Tropic Trooper 攻擊行動專門鎖定台灣和菲律賓的政府機關、軍事單位以及重工業企業。值得注意的是仍有許多機構遭到這些老舊技倆的滲透，但它其實是可以利用漏洞修補、資安教育、惡意程式防護偵測等一些主動的作為和技術來事先加以防範。

在這項攻擊行動當中，歹徒對其攻擊目標的網路瞭若指掌，而且知道該用什麼誘餌來吸引受害者上鉤。歹徒精心製作了魚叉式網路釣魚（Phishing）電子郵件，並且附上炸彈攻擊預告信、履歷表、政府預算表等等吸引受害者開啟的附件檔案。這些隨附的文件當中暗藏了程式碼來攻擊 Windows 經常被利用、並可執行木馬程式的兩項漏洞：CVE-2010-3333 和 CVE-2012-0158。

[延伸閱讀：進階持續性滲透攻擊 (APT) 最常利用的漏洞 (Most Commonly Exploited Vulnerabilities Related to Targeted Attacks)]

歹徒的木馬程式 (TROJ_YAHOYAH) 最後會下載並解碼出一個惡意的圖片檔或一個誘餌文件。這個圖片檔看似無害，而且很像 Windows XP 系統內建的桌布。但其實歹徒利用了隱寫術來將 BKDR_YAHAMAM 後門程式暗藏在圖片當中，此程式會竊取系統上的資料、中止執行中的程序及服務、刪除檔案和目錄、將系統睡眠，或是執行其他的後門功能。

繼續閱讀

APT攻擊：敵人在大門嗎？

2015 年 05 月 28 日2015 年 05 月 28 日趨勢科技 TrendMicro

最近一次出差到東京時，我見證了哥吉拉並不隱蔽的攻擊。正如你從上圖所看到的，從照片中，部分東京能夠逃過巨大綠色怪獸的憤怒得感謝有個強大的圍牆。真的嗎？我用iPhone拍攝的這張驚人圖片讓我思考了一番，自以為倖免於難是對「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）的重大誤解。

許多想法浮現在我腦海中。千百年來，防守邊界一直是良好安全實作的基本原則。從中古世紀的護城河、城牆和高塔，到通電柵欄，再到現代IT安全的防火牆、閘道防禦、IPS等等。其背後的邏輯就是阻止任何形式的威脅進入這些設計用來防護的邊界防禦。然而在這樣過了幾千年後，深思熟慮的安全措施需要深度防禦的做法。原則就是在可預見及不可預見的條件下，防禦措施可能會被攻破或是沒有作用。那麼，這跟哥吉拉有何關係？繼續閱讀

< APT 攻擊 >「熱帶騎警攻擊行動」強勢攻台 62%鎖定政府單位與重工業

2015 年 05 月 18 日2015 年 05 月 18 日趨勢科技 TrendMicro

【台北訊】趨勢科技發佈「熱帶騎警攻擊行動」觀察報告，指出台灣與菲律賓一直是此項「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）的首要目標，在過去三個月內，62%的攻擊行為都是針對台灣的政府單位與重工業，菲律賓的軍事單位則是另一個目標。根據趨勢科技病毒防治中心最新研究，駭客攻擊火力以今年3月份最為密集，連最常被利用的c&c伺服器也位於台灣！報告中詳述攻擊行動的目標、階段與手法，趨勢科技也表示，如同其他APT攻擊一樣，「熱帶騎警攻擊行動」已帶來重大危險，建議政府單位和企業都應有一套完整的監控策略與進階威脅防護工具，才能確切掌握並修補其網路的安全漏洞。

趨勢科技資深技術顧問簡勝財表示：「『熱帶騎警攻擊行動』自2012年起即現出蹤影，但在今年3月份對台灣的攻擊火力大幅增強，並仍持續進行中。被利用的C&C伺服器中，有43%位於台灣，其次則分別位於美國、香港和阿拉伯聯合大公國。」

簡勝財指出，這項攻擊行動之所以能夠成功，是綜合了許多因素，例如利用兩個至今最常遭到攻擊的 Windows漏洞：CVE-2010-3333 和CVE-2012-0158 來入侵目標網路，並且採用了基本的圖像隱藏術 (steganography) 來將惡意程式碼隱藏在圖片當中，再搭配社交工程（social engineering ）技巧騙取收件者的信任，而不小心開啟洩漏資訊給駭客的後門。此外，截至目前為止，台灣仍有17%的系統還在使用微軟Windows XP作業系統，而許多企業對於如何防禦 APT攻擊這種長期持續滲透的攻擊仍不熟悉、防護架構也不完整。
【延伸閱讀】
堅持上工的Windows XP ,讓DOWNAD 登上第二季垃圾毒王寶座
 第一個 Windows XP 系統終止支援後出現的重大IE漏洞
 十二年了,Windows XP時代終結：如果你還在用它怎麼辦

本次事件的攻擊手法，是先使用社交工程（social engineering ）釣魚郵件、挾帶惡意附件檔案，進一步攻擊一些既有的漏洞，透過與收件者業務有關聯的郵件主旨、內容以及配合該情況的附件檔案名稱，趨勢科技曾發現的有：「關於104年中央政府總預算」或「實驗室電話表」等檔名，讓收件人不疑有他，進而下載並開啟郵件中所附的檔案。

圖一、社交工程釣魚郵件樣本

繼續閱讀